Железная защита форума при помощи .htaccess & .htpasswd

[YarNET]

Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом вами форуме за счет использования паролирования директории /admin/ и файла modcp.php – первое обеспечит защиту от нелегального доступа к панели администрирования, второе ограничит доступ к панели модерирования.

Защищаем директорию /admin/

Создаем файл .htaccess, который будет находится в директории /admin/
Его содержание:

Код: Выделить всё

AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>


Дале, защищаем панель модерации форумов modcp.php
Создаем файл .htaccess, который будет находится там же, где и modcp.php, т.е. в корневом каталоге.
Его содержание:

Код: Выделить всё

<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
AuthUserFile / полный путь к директории, в которой находится файл с паролями /.htpasswd
require valid-user
</Files>


Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь

Теперь практически все готово, остается придумать название директории, которую вы создадите и положите в нее два файла: один .htpasswd – ваши пароли, второй – еще один .htaccess для защиты этой директории следующего содержания:

Код: Выделить всё

<Files .htpasswd>
deny from all
</Files>


Теперь все сделано. Это минимизирует возможные потери информации и пр. в случаи взлома форума и получения прав администратора злоумушленником.

[-=UHAHAN=-]

YarNET
огромный респектище!!!!!!

[andreysmorya]

Поясните, кто нибудь - я сделал проще: панель управления сайтом (хостинг предоставляет такую возможность) - защита директорий - ставлю: логин/пароль на директорию форум/админ.
Тут есть где подвох/уязвимость?

[YarNET]

andreysmorya, все Ок в таком случаи.

Xpert, почему бы данный способ защиты не описать в материалах «документация» в качестве очень даже не плохого метода защиты, если злоумышленник получил права администратора/модератора :z)

[andreysmorya]

"Требую" гонорар в размере не менее полулитра за "авторское право". (хотя бы ссылка на сайт автора http://andreysmorya.ru- обязательна)

[-=UHAHAN=-]

andreysmorya
там файлы пасворда и акцесса бросаются просто в корень обычно... и они перезаписываемые

[andreysmorya]

...так я ж не Бил Гейтс (грустно считаю свою зарплату)
- а "его" Windows то ж не идеал (хотя и небесплатна, в отличае от данного форума)

[MiTrI]

YarNET
Сделал как написали.
Данкишен
Бедем надеятся что это поможет...

[YarNET]

Ну если хулиган, разгильдяй и двоечник Вовка Пупкин получит права Level=1 администратора, то он будет несколько похож на того психа, который очень хотел автомат Калашникова, чтобы с ним по улицам ходить. Автомат он все-таки заполучил, но оказался не на улице, а комнате без окон, но с дверью, к которой ключей у него не было… Вот он и сидел со своей мечтой в четырех стенах наедине.

Смысла нет в администрировании/модерировании без раздела администраторского/панели модерирования. Даже темы удалять кумара нет, только если по одной, что долго и быстро достанет. Так что вот такие пироги.

[crash]

YarNET

Теперь практически все готово, остается придумать название директории, которую вы создадите и положите в нее два файла: один .htpasswd – ваши пароли, второй – еще один .htaccess для защиты этой директории следующего содержания:
Код:

<Files .htpasswd>
deny from all
</Files>

отсюдаделаем вывод что файл .htpasswd должен лежать в директории которую не видно через веб, и не надо бдет лишних манипуляций.

[YarNET]

crash
отсюдаделаем вывод что файл .htpasswd должен лежать в директории которую не видно через веб, и не надо бдет лишних манипуляций.

Абсолютно логично, хотя по количеству манипуляций немногим меньше (создание «лишнего» .htaccess) :z)

[Jovani]

Защищаем директорию /admin/

Есть еще такое предложение, хотя сам не пробовал:
Переименовать директорию admin в нечто другое, например administration
И после этого, в файле includes/functions.php изменить код:

Код: Выделить всё

include($phpbb_root_path . 'admin/


на код:

Код: Выделить всё

include($phpbb_root_path . 'administration/


По идее, если устанавливали корректные моды, то должно работать.

[Siava]

Jovani
Угу.. а проще эту папку удалить вобще и не мучиться

YarNET
Создавать .htpasswd на каждый файл, это по моему, извращение хотя в сочетании с .htaccess это обеспечит неплохую защиту.

[andreysmorya]

...Так что с сайтом-форумом было? (выбираю хостинг, форум...)
Навел в "одном месте" справки...и выводов никаких не могу сделать:

"Не могу никак прокомментировать, возможно их дефейсили, phpBB -- дырявый форум

дефейсили...- "по человечески" объясните (не все в компьютере "живут")

сломали сайт из-за дырок в коде"

[YarNET]

Siava, .htpasswd - можно один единственный сделать, куда прописать все пароли. Положить его в директорию, выше корня, защитить .htaccess и все.
Дальше уже написать .htaccess для доступа к панели администрирования и .htaccess для modcp.php, в последнем, можно еще некоторые тонкости и "приятности" ввести, которые весьма не лишними будут. Можно сделать автоматическую переадресацию запросов вирусных червей на другой какой-нибудь ресурс; добавить свои странички HTML на ошибки сервера 401, 402, 403, 404, … , 415… 500, 501, … 505.
Со страничками вообще круто можно сделать. Пример: :z)
(Декодировать в TotalCommander)

MIME-Version: 1.0
Content-Type: application/octet-stream; name="HTML.rar"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="HTML.rar"
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=